El trabajo realizado por el Laboratorio de ESET Latinoamérica para el artículo “Dorkbot: conquistando Latinoamérica” analizó en detalles los principales factores que llevaron a este código malicioso a una propagación masiva en la región. La firma con mayor nivel de detecciones es Win32/Dorkbot.D representa el 55,58% del total, y se corresponde con la técnica utilizada principalmente para infectar a un sistema con Win32/Dorkbot.B. Veamos en detalle qué es lo que hacen para engañar al usuario.

Como comenta el artículo, durante la segunda parte del 2011 Dorkbot se posicionó como el código malicioso más importante de la región. Esta amenaza que al infectar un equipo lo convierte en parte de una botnet controlada a través del protocolo IRC (Internet Relay Chat), le permite al atacante realizar acciones tales como:

• Robo de credenciales de sitios web como Gmail y Hotmail.
• Ataques de denegación de servicio.
• Bloqueo de direcciones IP.
• Descarga y ejecución de otros códigos maliciosos.
• Inyección de código en páginas web.
• Propagación a través de redes sociales y mensajeros instantáneos, por ejemplo el chat de Facebook y Windows Live Messenger.
• Redirección de tráfico web para la realización de ataques de phishing.

La variante Win32/Dorkbot.D refiere utilización de accesos directos para engañar a los usuarios es uno de los métodos más eficaces para infectar un sistema desprotegido. Es por ello que la firma de esta variante detecta directamente los archivos LNK que contienen en su interior otras variantes de Dorkbot. Cuando una memoria USB se conecta a un equipo infectado con este gusano, las propiedades de los archivos y carpetas son modificadas y se ocultan como archivos del sistema.

Cuando el usuario hace doble clic sobre el acceso directo para abrir la carpeta, se ejecuta el código malicioso y luego se abre una nueva sesión del Explorador de Windows en donde se muestra su contenido. De esta manera, Dorkbot intenta pasar desapercibido y, si el equipo no está protegido eficientemente por un antivirus, el mismo será infectado. La cadena que se almacena en los accesos directos y permite la ejecución del código malicioso es similar a:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\<nombre_malware>.exe &&%windir%\explorer.exe %cd%Carpeta

Si se cambian las Opciones de carpeta para poder ver los archivos ocultos y del sistema, es posible encontrar la información que se escondío ante los ojos de un usuario desprovisto de una solución de seguridad como ESET NOD32 Antivirus. Esta técnica remarca la importancia de contar con un antivirus que analice los dispositivos de almacenamiento extraíbles que se conectan al equipo. En la siguiente imagen se puede observar cómo queda una memoria USB infectada con esta amenaza:

Además de esta técnica de infección, Dorkbot se propaga a través de redes sociales y mensajeros instantáneos. Una de las funcionalidades que agregó la variante B respecto de Win32/Dorkbot.A es la posibilidad de utilizar el chat de Facebook como un canal de distribución de esta amenaza medainte Ingeniería Social. Durante el seguimiento de una campaña activa en América Latina el administrador de la botnet ha utilizado temáticas que incluyen fotos de la cantante Jennifer Lopez, al presidente venezolano Hugo Chávez, un accidente automovilístico de Lionel Messi y fotografías del naufragio del crucero en la costa italiana.

Los invitamos a leer el artículo completo para conocer cuáles son los riesgos y las actividades maliciosas de esta familia de malware y cuál es el impacto que esta amenaza tiene en la región.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware
7 Comments »

El scam es uno de los ataques que hemos mencionado reitaradas veces en este blog. Este, tiene como objetivo engañar al usuario para hacerle creer de una situación que le podría provocar algún perjuicio (generalmente económico). Esta amenaza fue conocida en un princpio como “estafa nigeriana” o Estafa 419 (en relación al número del artículo del código penal de Nigeria). Lo interesante del caso que presentaremos a continuación es que se trata de un ataque 419 que utiliza un banco latinoamericano para propagarse.

La posible víctima recibe en su casilla de correo un mensaje del gerente de la sucursal de un banco en Quito, Ecuador. La oferta le promete que si contacta al atacante con su información personal se hará una transacción en donde obtendrá más de 1.300.000 de dólares. De esta manera se intenta convencer al usuario de que participe en esta actividad. A continuación compartimos con ustedes el texto del correo:

Hay ciertos detalles a tener en cuenta. Primero el atacante se presente con su apellido y nombre, en casi todos los países de la región, la costumbre es al revés, uno dice su nombre y luego su apellido. En segunda instancia, la única información que se provee es una dirección de correo a la cuál, la posible víctima debería contactarse. Como mencionamos anteriormente se llama scam al engaño deliberado hacia una persona con el objetivo de ocasionarle una pérdida económica, generalmente a favor de quien realizar el engaño y eso es lo que sucederá con aquellas personas que se contacten a esa dirección de correo. Debido a este tipo de detalles, siempre les recomendamos a los usuarios conocer de qué manera detectar un correo falso.

¿Qué hacer ante esta situación?

La primera acción a realizar por parte del usuario es denunciar el correo. Distintos servicios de correos gratuitos como Gmail, Hotmail y Yahoo permiten hacer la deuncia de este tipo de actividades con el objetivo de bloquear la cuenta del atacante. Si bien en este caso en particular se trata de una cuenta en particular, estos correos pueden ser enviados desde cuentas de usuarios cuyas credenciales están en mano del atacante. Siempre que se reciba un correo extraño desde la cuenta de algún contacto, es recomendable contactarlo para avisarle de la situación y que sería bueno que cambie la contraseña de su cuenta.

Entre las buenas prácticas para el uso del correo electrónico compartimos con ustedes cómo proceder para identificar este tipo de situaciones. Es importante tener en cuenta y conocer cuáles son las amenazas existentes para así evitar caer en la trampa. Además, al utilizar un banco de la región vemos como se están propagando amenazas desde Latinoamérica para el resto del mundo, tendencia que hace tiempo atrás no existía.

Pablo Ramos
Especialista en Awareness & Research

Categories: Alertas
No Comments »

El uso de noticias o personalidades famosas son algunas de las excusas más utilizadas por los cibercriminales para propagar sus ataques a través de la red. En esta oportunidad, hemos detectado una amenaza que se está propagando en la región mediante mensajes en el chat de Facebook y Windows Live Messenger con un enlace a supuestas fotos de Hugo Chávez, el presidente venezolano en estado de agonía. La realidad es que se trata de un código malicioso que, además de utilizar estos canales de comunicación como vía de propagación, una vez infectado el equipo roba credenciales de acceso a las redes sociales y realiza un ataque de phishing a distintos bancos de la región.

En el seguimiento de una botnet latinoamericana diseñada con un código malicioso detectado por ESET NOD32 Antivirus como Win32/Dorkbot, hemos detectado que los equipos zombis lanzaron una nueva campaña de propagación con los mensajes anteriormente indicados. En la siguiente imagen, se puede observar cómo el equipo zombi recibe las órdenes para comenzar a propagar por el chat de Facebook (comando http.set) y por Messenger (msn.set) el siguiente mensaje: “esta foto de hugo chavez agonizando es realmente impactante http://[ELIMINADO]/IMG00359268.JPG XD”.

Cuando el usuario cae víctima del engaño y hace clic en el enlace, realiza la descarga de un archivo ejecutable y al intentar abrirlo infecta su sistema. A partir de ese momento el equipo infectado se comunicará  con el Centro de Comando y Control de la red botnet (a través del protocolo IRC) y queda a espera de recibir órdenes. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López propagando el mismo código malicioso.

Ver más… »

Categories: Alertas
20 Comments »

En el día de ayer, se realizó un ataque sobre grandes empresas del medio tecnológico en la República Democrática del Congo. Un atacante, conocido bajo el nombre de AlpHaNiX, realizó un envenenamiento de cache DNS (DNS Caché Poisoning) contra Google, Apple, Yahoo, YouTube y Gmail. De esta forma, los usuarios que intentaran ingresar a los dominios afectados, en algunos casos observarían como si el sitio hubiera sufrido un ataque del tipo Defacement, donde se modifica la página de inicio, cuando en realidad el servidor DNS resolvió el dominio a la dirección IP del atacante:

A continuación les mostramos todos los dominios que fueron afectados, de las empresas mencionadas en el título de este mismo post, todas en sus dominios del país también afectado:

Ver más… »

Categories: Alertas
3 Comments »

Son muchas las ocasiones en las cuales los usuarios reportan un acceso no autorizado a sus cuentas. Ante situaciones de esta índole, en donde las credenciales de acceso del usuario caen en manos de un cibercriminal, uno se pregunta qué es lo que puede hacer. Es más que claro que una de las primeras medidas de seguridad a tener en cuenta es no proveer las credenciales de acceso a ningún servicio sin antes verificar la veracidad del mismo.

Los cibercriminales utilizan los correos electrónicos como uno de los principales canales de propagación para los ataques informáticos masivos, en donde se busca llegar a la mayor cantidad de usuarios posibles. Sin embargo, en más de una ocasión, en lugar de utilizar un código malicioso, engañan a los usuarios a través de Ingeniería Social para que realicen una acción determinada. En este caso, un correo llega a la casilla del usuario con el siguiente asunto: “¡Estoy viendo los mensajes de tu MSN! ”

Ver más… »

Categories: Alertas
2 Comments »